СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:23
#ИБ#Облака

Shai-Hulud 2.0: NPM-червь крадёт облачные учётные данные

Новая, значительно усовершенствованная версия вредоносного ПО под названием Shai-Hulud 2.0 представляет собой эскалацию атак на цепочку поставок NPM. По информации исследователей, кампания стартовала примерно 21 ноября 2025 года и отличается от предыдущих версий принципиально иным методом выполнения полезной нагрузки — через сценарии предварительной установки (preinstall), а не через привычную фазу postinstall.

В чём отличия Shai-Hulud 2.0

Ключевые особенности этой версии выглядят следующим образом:

  • Атака идет через preinstall-скрипты NPM-пакетов, что позволяет запускать вредоносный код ещё до завершения обычной установки и до активации сред разработки.
  • Цель атаки расширена: помимо воздействия на dev-среды, злоумышленники стремятся к сбору конфиденциальных учётных данных, связанных с облачными провайдерами — AWS, Azure и GCP.
  • Отфильтрованные и собранные данные систематически сохраняются в файле cloud.json, что обеспечивает злоумышленнику возможность дальнейшего перемещения внутри облачных сред и закрепления доступа.

«Отфильтрованные данные стратегически сохраняются в файле «cloud.json», что делает возможным перемещение внутри компании в облачных средах для злоумышленника.»

Как это работает (кратко)

Вместо поздней активации (postinstall) злоумышленники внедряют вредоносную логику в шаги предварительной установки пакета. Это позволяет:

  • запускать код на машинах разработчиков и сборочных серверах раньше, чем обнаружат традиционные сигнатуры;
  • собирать токены, ключи и другие секреты, которые часто находятся в окружении сред разработки или CI/CD;
  • сохранять отфильтрованные секреты в индексируемом файле (cloud.json) для последующего использования против облачных инфраструктур.

Риски и рекомендации для пострадавших

Учитывая специфику атаки, последствия могут быть серьёзными: от компрометации отдельных аккаунтов до горизонтального перемещения и захвата ресурсов в облаках. Эксперты рекомендуют предпринять немедленные корректирующие действия при малейших признаках компрометации.

Немедленные шаги для защиты:

  • Срочно поменять все токены, ключи и секреты, которые могли быть связаны с скомпрометированными NPM-пакетами или инфраструктурой.
  • Проверить наличие и содержимое файлов с именем cloud.json в репозиториях, рабочих станциях разработчиков и сборочных окружениях.
  • Провести ревизию preinstall/postinstall-скриптов в используемых NPM-пакетах, особенно в тех, которые недавно обновлялись.
  • Изолировать подозрительные машины и сборочные агенты до завершения расследования.

Обнаружение и меры защиты

Для борьбы с Shai-Hulud 2.0 уже разработаны и внедряются специфические методы обнаружения:

  • Платформа защиты конечных точек SentinelOne использует поведенческие механизмы AI, которые отслеживают аномальные последовательности действий, характерные для атак на цепочки поставок и червевидного распространения.
  • Создана специальная библиотека обнаружения в SentinelOne с набором правил, нацеленным на выявление активности Shai-Hulud на разных стадиях — это улучшает скорость и точность реагирования.
  • Команда threat hunting Wayfinder ведёт активный мониторинг и поиск признаков подозрительной активности, связанной с этой угрозой.

Рекомендации для организаций

Организациям рекомендуется сохранять повышенную бдительность и наладить обмен информацией об инцидентах: совместный обмен Indicators of Compromise и наблюдениями по поведению атак ускорит выявление и нейтрализацию угрозы.

Краткий чек-лист действий:

  • обновить и поворотить креденшелы облачных аккаунтов при малейшем подозрении;
  • проверить и ограничить доступы для CI/CD-пайплайнов и агентских учетных записей;
  • внедрить мониторинг целевых облачных API и аномалий использования токенов;
  • подключиться к сообществам обмена threat intelligence и обмениваться находками по Shai-Hulud 2.0.

Вывод

Shai-Hulud 2.0 — это качественный скачок в развитии атак на цепочку поставок NPM: переход к preinstall-исполнению и фокус на облачные учётные данные делают угрозу особенно опасной. Быстрая смена секретов, усиленный мониторинг и использование поведенческих механизмов обнаружения — ключевые элементы ответа на кампанию. Организации, которые своевременно отреагируют и установят обмен информацией об инцидентах, существенно снизят риски дальнейшей компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: